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Entwurf eines Gesetzes zur Stärkung der Sicherheit in der 
Informationstechnik des Bundes 
- Drucksache 16/11967 - 


Stellungnahme des Bundesrates und Gegenäußerung der Bundesregierung 


Der Bundesrat hat in seiner 856. Sitzung am 6. März 2009 
beschlossen, zu dem Gesetzentwurf gemäß Artikel 76 Ab- 
satz 2 des Grundgesetzes wie folgt Stellung zu nehmen: 

1. Zu Artikel 1 (§3 Absatz 1 Nummer 11, 

Absatz 3 - neu -, 

§ 8 Absatz 3 Satz 1 , 1 a - neu -, 

Absatz 4 - neu — , 

§ 9 Absatz 4 Nummer 3 - neu -, 

§ 10 Absatz 1 und 2 Satz 3 BSIG) 

Artikel 1 ist wie folgt zu ändern: 

a) § 3 ist wie folgt zu ändern: 

aa) Absatz 1 Nummer 1 1 ist wie folgt zu fassen: 

„11. in begründeten Ausnahmefallen die Bereit- 
stellung von IT-Sicherheitsprodukten für 
Stellen des Bundes und auf Ersuchen auch 
für die der Länder,“. 

bb) Es ist folgender Absatz anzufügen: 

„(3) Das Bundesamt kann den Arbeitskreis der 
Staatssekretäre für E-Government in Bund und 
Ländern oder dessen jeweilige Nachfolgeorgani- 
sation beraten und unterstützen.“ 

b) § 8 ist wie folgt zu ändern: 

aa) Absatz 3 ist wie folgt zu ändern: 

aaa) Satz 1 ist wie folgt zu fassen: 

„Die Bereitstellung von IT-Sicherheits- 
produkten durch das Bundesamt nach § 3 
Absatz 1 Satz 2 Nummer 11 erfolgt nach 
Durchführung von Vergabeverfahren auf 
Grund einer entsprechenden Bedarfsfeststel- 
lung oder durch Eigenentwicklung.“ 


bbb) Nach Satz 1 ist folgender Satz einzufugen: 

„IT-Sicherheitsprodukte können nur in be- 
gründeten Ausnahmefallen durch eine Ei- 
genentwicklung des Bundesamtes nach § 3 
Absatz 1 Satz 2 Nummer 11 bereitgestellt 
werden.“ 

bb) Es ist folgender Absatz anzufügen: 

„(4) Vorgaben nach den Absätzen 1 bis 3 sind, 
soweit sie die Kommunikationstechnik des Bun- 
des mit den Ländern oder die Schnittstellen der 
Kommunikationstechnik des Bundes mit den 
Ländern regeln, mit dem Arbeitskreis der Staats- 
sekretäre für E-Govemment in Bund und Ländern 
oder dessen jeweiliger Nachfolgeorganisation zu 
vereinbaren.“ 

c) In § 9 Absatz 4 ist der Punkt am Ende der Nummer 2 
durch ein Komma zu ersetzen und folgende Nummer 
anzufügen: 

„3. der Arbeitskreis der Staatssekretäre für E-Go- 
vernment in Bund und Ländern oder dessen je- 
weilige Nachfolgeorganisation in Angelegenhei- 
ten, die seine Zuständigkeit betreffen, festgestellt 
hat, dass Länderinteressen der Erteilung nicht ent- 
gegenstehen.“ 

d) In § 10 Absatz I und 2 Satz 3 sind jeweils die Wörter 
„ohne Zustimmung des Bundesrates“ zu streichen. 

Begründung 

Zu den Buchstaben a und b Doppelbuchstabe bb, den 
Buchstaben c und d 

Obwohl der Gesetzentwurf grundsätzlich die Sicherheit 
der Informationstechnik des Bundes betrifft, können sich 
die Regelungen in erheblichem Umfang, insbesondere im 
Bereich der Standardsetzung und Zertifizierung, zumin- 
dest faktisch auf die Informationstechnik in der Hoheit 
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der Länder und Kommunen auswirken. Dies kann im Hin- 
blick auf die im Rahmen der Föderalismuskommission II 
beschlossene Grundgesetzänderung in Artikel 91c GG 
nicht hingenommen werden. 

Mit der Ergänzung „und auf Ersuchen auch für die der 
Länder“ in Artikel 1 § 3 Absatz 1 Nummer 11 soll 
sichergestellt werden, dass auch die Länder in den Genuss 
der Sicherheitsprodukte kommen können. 

In Erwartung der Einrichtung eines IT-Planungsrats soll- 
ten in Artikel 1 § 3 Absatz 3 die Aufgaben des Bundesam- 
tes im Verhältnis zum Arbeitskreis der Staatssekretäre für 
E-Govemment in Bund und Ländern bzw. dem IT-Pla- 
nungsrat als dessen voraussichtliche Nachfolgeorgani- 
sation geregelt werden. 

Die Vorgaben des Bundesamtes gemäß Artikel 1 § 8 kön- 
nen sich in erheblichem Umfang und mit derzeit nicht ab- 
sehbaren Kostenrisiken auf die Informationstechnik in 
der Hoheit der Länder und Kommunen auswirken. Dies 
ist z. B. bei Bund-Länder-übergreifender Kommunika- 
tion oder bei Nutzung von vom Bund bereitgestellten 
IT-Diensten der Fall. Folge wäre etwa, dass nur noch oder 
sogar parallel zur bereits vorhandenen Sicherheitsinfra- 
struktur der Länder Netz-, Signatur- oder Verschlüsse- 
lungstechnik nach den Vorgaben des BSI gemäß Artikel 1 
§ 8 beschafft und eingesetzt werden müssten. 

Deshalb sind Vorgaben nach Artikel 1 § 8 Absatz 1 bis 3, 
soweit sie die Kommunikationstechnik oder die Schnitt- 
stellen der Kommunikationstechnik des Bundes mit den 
Ländern regeln, mit dem Arbeitskreis der Staatssekretäre 
für E-Govemment in Bund und Ländern bzw. dessen je- 
weiliger Nachfolgeorganisation zu vereinbaren. 

Des Weiteren sind im Rahmen der Erteilung von Sicher- 
heitszertifikaten die Interessen der Länder zu wahren. Die 
Ergänzung in Artikel 1 § 9 Absatz 4 Nummer 3 trägt dem 
Rechnung. 

In Artikel 1 § 10 Absatz 1 und 2 Satz 3 ist „ohne Zu- 
stimmung des Bundesrates“ zu streichen, da Artikel 80 
Absatz 2 GG eine hinreichende Regelung trifft. 

Zu Buchstabe a Doppelbuchstabe aa und Buchstabe b 
Doppelbuchstabe aa 

§ 8 BSIG-E ermächtigt das BSI zu weitreichenden Ein- 
griffen in Vergabeverfahren und gefährdet damit den 
Wettbewerb. Die technischen Richtlinien stellen einen 
Eingriff in die Auftragsvergabe anderer Behörden dar und 
haben unmittelbare Auswirkungen darauf, welche Infor- 
mationstechnologie andere Behörden einsetzen. Daher 
sollte der Rat der IT-Beauftragten unmittelbaren Einfluss 
auf die der Vergabepraxis künftig zu Gmnde liegenden 
technischen Richtlinien nehmen können. 

Des Weiteren bestünde die Gefahr der Wettbewerbsver- 
zerrung, wenn auf Grand von einseitig gefassten Spezi- 
fikationen der Richtlinien eine zu begrenzte Auswahl von 
potenziellen Anbietern in Betracht kommen würde oder 
wenn nur die vom BSI bereitgestellten Produkte die Stan- 
dards erfüllten. 

Mit der eingeräumten Befugnis zur Entwicklung und Be- 
reitstellung eigener IT-Sicherheitsprodukte für Bundes- 
behörden wird dem BSI gesetzlich eine einzigartige Stel- 
lung gesichert: als Anbieter, Prüfer und Zertifizierer von 


IT-Sicherheitsprodukten. Eine solche Stellung und der 
potenzielle Interessenkonflikt erfordern zwingend Kon- 
troll- und Beschränkungsmechanismen. Grundsätzlich 
müssen Eigenprodukte der Verwaltung angesichts eines 
hoch entwickelten privaten Anbietermarkts eine zu be- 
gründende Ausnahme bleiben. Behörden sind nur einge- 
schränkt in der Lage, die für die Entwicklung von IT-Sys- 
temen notwendige Qualifikation dauerhaft vorzuhalten. 

Aus diesem Grund sollten dem Subsidiaritätsprinzip ent- 
sprechend nur an den Stellen Eigenentwicklungen einge- 
setzt werden, an denen entsprechende Systeme nicht am 
Markt verfügbar sind. 

Als Folge ist § 3 Absatz 1 Nummer 1 1 neu zu fassen. 

2. Zu Artikel 1 (§ 5 Absatz 1 BSIG) 

Der Bundesrat bittet, im weiteren Verlauf des Gesetzge- 
bungsverfahrens zu prüfen, ob die in § 5 Absatz 1 des Ge- 
setzentwurfs vorgesehene Befugnis des Bundesamtes für 
Sicherheit in der Informationstechnik, ohne jeden Anlass 
„Protokolldaten, die beim Betrieb von Kommunika- 
tionstechnik des Bundes anfallen“, zu erheben und auto- 
matisiert auszuwerten sowie „die an den Schnittstellen 
der Kommunikationstechnik des Bundes anfallenden Da- 
ten“ einschließlich der Kommunikationsinhalte automati- 
siert auszuwerten, 

- die hohen verfassungsrechtlichen Anforderungen an 
die Rechtfertigung von Eingriffen in das Femmelde- 
geheimnis und das Recht auf informationeile Selbst- 
bestimmung erfüllt, insbesondere 

- einen verhältnismäßigen Ausgleich zwischen dem 
gravierenden Grandrechtseingriff und der Schutzgut- 
gefährdung herbeiführt und 

- die Gefahr von allgemeinen Einschüchterangseffek- 
ten bei den Nutzem dieser Kommunikationstechnik 
vermeidet. 

Begründung 

Die Regelung in § 5 BSIG-E soll dem Bundesamt für 
Sicherheit in der Informationstechnik die Befugnis ver- 
schaffen, zur Abwehr von Gefahren für die Kommunika- 
tionstechnik des Bundes die in Absatz 1 genannten Daten 
automatisiert auszuwerten. Es begegnet erheblichen Be- 
denken, ob der hiermit verbundene Eingriff in das Fem- 
meldegeheimnis nach Artikel 10 des Grundgesetzes 
(siehe auch § 11 BSIG-E) auf der Grundlage der in § 5 
BSIG-E vorgesehenen Regelungen verfassungsrechtlich 
zu rechtfertigen ist. 

Nach § 5 Absatz 1 Satz 1 Nummer 1 BSIG-E darf das BSI 
„Protokolldaten“ erheben und auswerten. Diese haben 
nach der Legaldefmition in § 2 Absatz 8 BSIG-E keinen 
Bezug zu Kommunikationsinhalten. Nach § 5 Absatz 1 
Satz 1 Nummer 2 BSIG-E darf das BSI aber auch „die an 
den Schnittstellen der Kommunikationstechnik des Bun- 
des anfallenden Daten automatisiert auswerten“. Dieser 
Begriff der Daten ist im Gesetz selbst nicht definiert, so 
dass er grundsätzlich auch Kommunikationsinhalte er- 
fasst. Diesen Eindruck stützt die Entwurfsbegründung 
(Bundesratsdrucksache 62/09, Seite 18), weim es dort 
heißt: „Gemäß Nummer 2 kann das BSI auch automati- 
siert auf („technische“) Telekommunikationsinhalte zu- 
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greifen, um diese auf Schadprogramme zu untersuchen 
oder auf Links zu Internetseiten, die ihrerseits Schadsoft- 
ware enthalten, die sich beim Aufruf versucht automa- 
tisch auf dem Rechner des Benutzers zu installieren. Dies 
betrifft den Einsatz von Virenscannem und ähnlichen De- 
tektionstools, der bislang nur mit Einwilligung der Be- 
troffenen möglich ist. Die automatisierte Auswertung ge- 
stattet nicht die Speicherung der Inhalte über den für die 
technische Abwicklung des Kommunikations- und Er- 
kennungsvorgangs ohnehin notwendigen Umfang hin- 
aus.“ Der letzte Satz der Entwurfsbegründung verdeut- 
licht, dass eine Erfassung und Speicherung auch von 
Kommunikationsinhalten gestattet werden soll. Gerade 
an der Nahtstelle zwischen Bund und Unternehmen/ 
Bürger (§ 5 Absatz 1 Satz 1 Nummer 2 BSIG-E) dürfen 
danach - zweckbegrenzt - Kommunikationsinhalte er- 
fasst und ausgewertet werden. Die Zweckbegrenzung 
(§ 5 Absatz 3 BSIG-E) ist dabei so formuliert, dass der be- 
grenzende Charakter zweifelhaft ist (siehe insbesondere 
§ 5 Absatz 3 Satz 1 Nummer 3 a. E. BSIG-E). 

Auf dieser Grundlage und der vom Bundesverfassungs- 
gericht für das Gewicht eines Grundrechtseingriffs als 
maßgebend entwickelten Kriterien erweist sich der Ein- 
griff in die dargestellte Grundrechtsposition als gravie- 
rend: 

- Bei erfassten Kommunikationsinhalten ist die Persön- 
lichkeitsrelevanz der Infonnationen, die von der infor- 
mationsbezogenen Maßnahme erfasst werden (vgl. 
BVerfG, Beschluss vom 4. April 2006, 1 BvR 5 1 8/02, 
BVerfGE 115, 320 <347>) als sehr hoch einzuschät- 
zen. 

- § 5 Absatz 1 BSIG-E gestattet zunächst die anlasslose 
Auswertung aller genannten Daten (vgl. BVerfG, Ur- 
teil vom 27. Juli 2005, 1 BvR 668/04, BVerfGE 113, 
348 <383>; Beschluss vom 4. April 2006, a. a. O., 
BVerfGE 115, 320 <354>) und begrenzt nur deren 
Speicherung und weitere Verwendung. 

- Die von § 5 Absatz 1 Satz 1 Nummer 2 BSIG-E gestat- 
tete Auswertung aller an Schnittstellen der Kommuni- 
kationstechnik des Bundes anfallenden Daten kann zu 
allgemeinen Einschüchterungseffekten bei den Nut- 
zern dieser Kommunikationstechnik führen und Be- 
einträchtigungen bei der Ausübung von Grundrechten 
bedingen (vgl. BVerfG, Urteil vom 15. Dezember 
1983, 1 BvR 209/83 u. a., BVerfGE 65, 1 <42>; 
Beschluss vom 12. April 2005, 2 BvR 1027/02, 
BVerfGE 113,29<46>). 

- Nach § 5 Absatz 3 Satz 4 und 5 BSIG-E erfolgt die 
Auswertung der Daten bis zum Erkermen des Schad- 
programms oder anderer Gefahr heimlich. Dies führt 
zu einer weiteren Erhöhung des Gewichts der gesetz- 
geberischen Freiheitsbeeinträchtigung (vgl. BVerfG, 
Urteil vom 12. März 2003, 1 BvR 330/96, 1 BvR 328/ 
99, BVerfGE 107, 299 <321>; Urteil vom 2. März 
2006, 2 BvR 2099/04, BVerfGE, 115, 166 <194>; Be- 
schluss vom 4. April 2006, a. a. O., BVerfGE 115,320 
<353>). Dem Betroffenen wird durch die Heimlich- 
keit des Eingriffs vorheriger Rechtsschutz faktisch 
verwehrt und nachträglicher Rechtsschutz kann zu- 
mindest erschwert werden (vgl. BVerfG, Urteil vom 


15. Dezember 1983, a. a. O., BVerfGE 113, 348 
<383 f.>; Beschluss vom 13. Juni 2007, 1 BvR 1550/ 
03, 1 BvR 2357/04, 1 BvR 603/05, NJW 2007, 
S. 2464 <2470 f >). 

Vor diesem Hintergrund ist es erheblichen Zweifeln aus- 
gesetzt, ob die in § 5 BSIG-E formulierten Eingriffs- 
schwellen einen verhältnismäßigen Ausgleich zwischen 
dem hier gravierenden Grundrechtseingriff und der 
Schutzgutgefährdung herbeiführen. Insbesondere die von 
§ 5 Absatz 1 des Gesetzentwurfs gestattete anlasslose 
grundrechtseingreifende Auswertung aller Daten „ins 
Blaue hinein“ lässt die Verfassung nicht zu. 

3. Zu Artikel 1 (§ 5 Absatz 5 Satz 2 BSIG) 

ln Artikel 1 § 5 Absatz 5 Satz 2 ist nach dem Wort „der“ 
das Wort „vorherigen“ einzufügen. 

Begründung 

Die Änderung dient der Klarstellung. Der Rechtsbegriff 
der Zustimmung umfasst im bürgerlichen Recht sowohl 
die Einwilligung (vorherige Zustimmung) als auch die 
Genehmigung (nachträgliche Zustimmung), vgl. Legal- 
defmitionen in § 183 Satz 1 und § 184 Absatz 1 BGB. Von 
diesem Begriffsverständnis geht offenbar auch der Ge- 
setzentwurf aus. Für den in § 5 Absatz 5 Satz 5 geregelten 
Zustimmungsvorbehalt bei einer Datenübermittlung an 
die Verfassungsschutzbehörden wird durch den Wortlaut 
(„nach Zustimmung des Bundesministeriums des In- 
nern“) hinreichend deutlich, dass eine vorherige Zustim- 
mung erforderlich sein soll. Die in § 5 Absatz 5 Satz 2 ent- 
haltene Formulierung „bedarf der gerichtlichen Zustim- 
mung“ kann hingegen - auch im Hinblick auf die von § 5 
Absatz 5 Satz 5 abweichende Formulierung - dahinge- 
hend verstanden werden, dass die für eine Datenübermitt- 
lung nach § 5 Absatz 5 Satz 1 Nummer 1 erforderliche ge- 
richtliche Zustimmung auch nachträglich erteilt werden 
kann. Damit würde aber - bei denkbarer Verweigerung 
der Zustimmung - der Schutzzweck des Zustimmungs- 
vorbehaltes unterlaufen. 

4. Zu Artikel 1 (§ 7 Absatz 1 Satz la - neu - BSIG) 

In Artikel 1 ist in § 7 Absatz 1 nach Satz 1 folgender Satz 
einzufügen: 

„Die Hersteller betroffener Produkte sind rechtzeitig vor 
Veröffentlichung der Warnung über diese zu informie- 
ren.“ 

Begründung 

Bei der Identifizierung von Sicherheitslücken in Pro- 
grammen sollte deren Behebung erstes Ziel sein. Um das 
Risiko der Ausnutzung von Sicherheitslücken in gefähr- 
deten Programmen nicht zu erhöhen, ist es zwingend er- 
forderlich, die betroffenen Anbieter vor der Öffentlich- 
keit zu informieren und ihnen Gelegenheit zu geben, ge- 
eignete Gegenmaßnahmen vorzubereiten und umzuset- 
zen. Warnungen ohne vorherige Information der 
Programmanbieter hätten massive Auswirkungen auf den 
jeweiligen Anbieter und könnten dessen Geschäftsmo- 
delle gefährden. 
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5. Zu Artikel 3 (§15 Absatz 3 und 9, § 16 Absatz 2 Num- 
mer 5 IMG) 

Artikel 3 ist wie folgt zu fassen: 

, Artikel 3 

Änderung des Telemediengesetzes 

Das Telemediengesetz vom 26. Februar 2007 (BGBl. 1 
S. 179), das zuletzt durch Artikel 2 des Gesetzes vom 
25. Dezember 2008 (BGBl. 1 S. 3083) geändert worden 
ist, wird wie folgt geändert: 

1 . § 1 5 wird wie folgt geändert: 

a) Absatz 3 wird wie folgt geändert: 

aa) ln Satz 1 werden die Wörter „dem nicht 
widerspricht“ durch die Wörter „darin ein- 
willigt“ ersetzt. 

bb) Nach Satz 1 wird folgender Satz eingefügt: 

„Der Nutzer karm seine Einwilligung jederzeit 
widerrufen.“ 

b) Folgender Absatz 9 wird angefügt: 

„(9) Liegen dem Diensteanbieter zu dokumen- 
tierende tatsächliche Anhaltspunkte vor, dass be- 
stimmte Nutzer seine zur Bereitstellung seines 
Dienstes genutzten technischen Eimichtungen stö- 
ren, darf er die personenbezogenen Daten dieser 
Nutzer über das Ende des Nutzungsvorgangs so- 
wie die in Absatz 7 genannte Speicherfrist hinaus 
nur erheben, speichern und nutzen, soweit dies für 
den Zweck der Eingrenzung oder Beseitigung der 
Störung erforderlich ist; eine Verwendung der Da- 
ten für andere Zwecke ist unzulässig. Die Maß- 
nahme kann auch durchgeführt werden, wenn 
Dritte unvermeidbar mitbetroffen sind. Der Diens- 
teanbieter hat die Daten unverzüglich zu löschen, 
wenn die Voraussetzungen nach Satz 1 nicht mehr 
vorliegen oder die Daten zur Störungseingrenzung 
oder -beseitigung nicht mehr benötigt werden. Der 
betroffene Nutzer ist zu unterrichten, soweit und 
sobald dies ohne Gefährdung des mit der Maß- 
nahme verfolgten Zwecks möglich ist.“ 

2. ln § 16 Absatz 2 Nummer 5 werden nach den Wörtern 
„§ 15 Absatz 1 Satz 1“ das Wort „oder“ durch ein 
Komma ersetzt und nach den Wörtern „Absatz 8 
Satz 1 oder 2“ die Wörter „oder Absatz 9 Satz 1 bis 3“ 
eingefügt. ‘ 

Begründung 

Zu Nummer 1 
Zu Buchstabe a 

Im Gesetzentwurf zur Änderung des Bundesdatenschutz- 
gesetzes (Bundesratsdrucksache 4/09) ist vorgesehen, die 
Weitergabe personenbezogener Daten zu Werbezwecken 
nach § 28 Absatz 3 BDSG künftig grundsätzlich von der 
Einwilligung des Betroffenen abhängig zu machen. Die 
Erstellung von Nutzungsprofden durch Diensteanbieter 
sowie deren Nutzung zu Werbezwecken nach § 15 Ab- 
satz 3 TMG berührt in gleicher Weise das Recht auf infor- 
mationeile Selbstbestimmung der betroffenen Kunden. 
Daher erscheint es zur Schaffung eines medienunabhän- 
gigen hohen Datenschutzniveaus im Sinne eines Gleich- 


laufs mit der beabsichtigten Änderung von § 28 Absatz 3 
BDSG geboten, auch die Erstellung von Nutzungsprofi- 
len nach dem Telemediengesetz von der Einwilligung des 
Dienstenutzers abhängig zu machen. 

Zu Buchstabe b 

Der Bundesrat anerkermt das grundsätzliche Bedürfnis 
nach einer ausdrücklichen Befugnis für Telemedienan- 
bieter, zur Eingrenzung und Beseitigung von Störungen 
Nutzungsdaten zu verwenden. Mit Blick auf die verfas- 
sungsrechtlichen Anforderungen aus Artikel 2 Absatz 1 
in Verbindung mit Artikel 1 Absatz 1 GG (Grundrecht auf 
informationeile Selbstbestimmung) ist die Ermächti- 
gungsgrundlage jedoch zu konkretisieren und durch eine 
eindeutige Zweckbindung zu flankieren. 

Telemedienanbieter und deren Nutzer sind angesichts der 
aktuellen Bedrohung durch Angriffe auf Webanwendun- 
gen vergleichbar schwerwiegenden Eingriffen ausgesetzt 
wie Anbieter von Telekommunikationsdienstleistungen; 
für diese sieht § 100 Absatz 1 des Telekommunikations- 
gesetzes (TKG) eine entsprechende Regelung vor. Für 
eine strukturelle Angleichung der beiden Regelungsre- 
gimes in diesem Punkt spricht insbesondere, dass trotz § 1 
Absatz 1 TMG eine trennscharfe Unterscheidung zwi- 
schen technischer Übertragungsleistung und Übertra- 
gungsdienst in der Praxis kaum möglich ist. Intemetpro- 
vider bieten ihren Kunden häufig integrierte Leistungspa- 
kete an, die sowohl Elemente von Telekommunikation, 
Telemedien und vielfach auch Inhaltsleistungen haben. 
Für Telemedien, die überwiegend in der Übertragung von 
Signalen über die Telekommunikationsnetze bestehen 
(Access-Providing, E-Mail-Dienste), ordnet § 1 1 Absatz 3 
TMG dementsprechend an, dass nur bestimmte daten- 
schutzrechtliche Normen des Telemediengesetzes An- 
wendung finden; im Übrigen gelten die entsprechenden 
Bestimmungen des Telekommunikationsgesetzes. 

Die bisherigen Befugnisse der Telemedienanbieter zur 
Erhebung und Verwendung von Nutzungsdaten reichen 
zur Schließung der Schutzlücken nicht aus; insbesondere 
scheidet ein Rückgriff auf § 15 Absatz 1 TMG aus (vgl. 
AG Berlin-Mitte, Urteil vom 27. März 2007 - 5 C 3 14/06, 
RDV 2007, 257). Eine Einwilligung zur Datenspeiche- 
rung nach § 12 Absatz 1 Variante 2 TMG kommt bei den 
in Rede stehenden Sachverhalten regelmäßig nicht in Be- 
tracht. 

Die Verwendung personenbezogener Nutzungsdaten 
durch den Diensteanbieter berührt den Gewährleistungs- 
gehalt des Grundrechts auf informationelle Selbst- 
bestimmung, das die Befugnis des Einzelnen umfasst, 
über die Preisgabe und Verwendung seiner persönlichen 
Daten selbst zu bestimmen (vgl. BVerfG, Urteil vom 
15. Dezember 1983, 1 BvR 209/83 u. a., BVerfGE 65, 1 - 
„Volkszählungsurteil“). Dieses Recht entfaltet als Norm 
des objektiven Rechts seinen Rechtsgehalt auch im Ver- 
hältnis von Privaten zueinander. Grundsätzlich obliegt es 
zwar dem Einzelnen selbst, seine Kommunikationsbezie- 
hungen zu gestalten und in diesem Rahmen zu entschei- 
den, ob er bestimmte Informationen preisgibt oder zu- 
rückhält. Ist ihm allerdings ein informationeller Selbst- 
schutz tatsächlich nicht möglich oder zumutbar, so be- 
steht eine staatliche Verantwortung, die Voraussetzungen 
selbstbestimmter Kommunikationsteilhabe zu gewähr- 
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leisten (vgl. BVerfG, Beschluss vom 23. Oktober 2006 
- 1 BvR 2027/02 DVBl 2007, 111). 

Bei der Schaffung von Befugnissen für Telemedienanbie- 
ter zur Datenspeicherung hat der Gesetzgeber deshalb die 
sich aus Artikel 2 Absatz 1 in Verbindung mit Artikel 1 
Absatz 1 GG ergebenden Anforderungen zu beachten. 
Notwendig ist nicht nur ein verfassungsrechtlich anerken- 
nenswertes Interesse an der Datenspeicherung, welches 
hier in der Wahrung der Funktionsfähigkeit der zur Be- 
reitstellung von Telemediendiensten genutzten techni- 
schen Einrichtungen liegt. Die Ermächtigungsgrundlage 
muss daneben hinreichend nonnenklar und -bestimmt 
sein sowie dem verfassungsrechtlichen Gebot der Ver- 
hältnismäßigkeit genügen. Hiermit nicht vereinbar sind 
anlasslose oder flächendeckend durchgeführte Speiche- 
rungen sämtlicher Nutzungsdaten; es müssen vielmehr 
Anhaltspunkte für eine konkrete Störung vorliegen (vgl. 
BVerfG, Urteil vom 1 1 . März 2008 - 1 BvR 2074/05 u. a., 
MMR 2008, 308). Darüber hinaus sind eine konkrete 
Zweckbindung bei der Datenverwertung sowie verfah- 
rensrechtliche Schutzvorkehrungen, die einen effektiven 
Schutz des Grundrechts gewährleisten, vorzusehen. Die 
oben genannte Fassung von § 1 5 Absatz 9 TMG trägt die- 
sen Erfordernissen Rechnung. Satz 1 Halbsatz 1 verdeut- 
licht den Einzelfall- und Anlassbezug der weiteren Daten- 
verwendung, um Auslegungsschwierigkeiten bei der 
Normanwendung vorzubeugen. Dies erscheint insbeson- 
dere deshalb veranlasst, weil die zu § 100 Absatz 1 TKG 
ergangene Rechtsprechung in verfassungsrechtlich be- 
denklicher Weise die vorbeugende Speicherung von 
IP-Adressen zur Störungseingrenzung und -beseitigung 
zulässt, ohne dass tatsächliche Anhaltspunkte bei einem 
bestimmten Nutzer vorliegen (vgl. LG Darmstadt, Urteil 
vom 6. Juni 2007 - 10 O 562/03, CR 2007, 574). Satz 1 
Halbsatz 2 sichert die Zweckbindung bei der Datenver- 
wertung. 

Die Einschränkung „nur“ in Satz 1 stellt klar, dass der 
Verwendungszweck sich auf die Eingrenzung und Besei- 
tigung der Störung beschränkt. Das Wort „Erkennen“ ist 
zu streichen, denn mit der Dokumentationspflicht und der 
Begrifflichkeit „tatsächliche Anhaltspunkte“ ist bereits 
sichergestellt, dass nur anlassbezogen und nicht ver- 
dachtsunabhängig personenbezogene Daten erhoben, ge- 
speichert und genutzt werden können. Die Anlassbezo- 
genheit der Maßnahme ist insbesondere von der Konfe- 
renz der Datenschutzbeauftragten des Bundes und der 
Länder herausgestellt worden (vgl. deren Entschließung 
vom 18. Februar 2009; Erhebung und Auswertung als 
Ultima Ratio). 

Ferner ist klarzustellen, was unter „Verwendung“ zu ver- 
stehen ist. Im Sinne der Einheit der Rechtsordnung wird 
auf die in den Datenschutzgesetzen des Bundes und der 


Länder gleichlautenden Begriffe Erheben, Speichern und 
Verarbeiten abgehoben (vgl. § 3 BDSG). 

Satz 2 trägt dem Umstand Rechnung, dass es aus techni- 
schen Gründen unvermeidbar sein kann, neben den Nut- 
zungsdaten mutmaßlicher Störer auch diejenigen anderer 
Nutzer zu erfassen. Satz 4 ist § 15 Absatz 8 Satz 3 TMG 
nachgebildet. 

Zu Nummer! 

§ 1 6 Absatz 2 Nummer 5 TMG ist zu ergänzen, damit Ver- 
stöße gegen § 15 Absatz 9 Satz 1 bis 3 TMG nicht sank- 
tionslos bleiben. 

6. Zu Artikel 3 (§ 19 Absatz 9 TMG) 

Der Bundesrat bittet, im weiteren Verlauf des Gesetzge- 
bungsverfahrens zu prüfen, ob der Gesetzentwurf auf- 
grund der Regelung des Artikels 3 des Gesetzentwurfs der 
Kommission der Europäischen Gemeinschaften nach Ar- 
tikel 8 der Richtlinie 98/34/EG des Europäischen Parla- 
ments und des Rates vom 22. Juni 1998 über ein Informa- 
tionsverfahren auf dem Gebiet der Normen und techni- 
schen Vorschriften und der Vorschriften für die Dienste 
der Informationsgesellschaft (ABI. L 204 vom 21. Juli 
1998, S. 37) in der Fassung der Richtlinie 2006/96/EG des 
Rates vom 20. November 2006 (ABI. L 363 vom 
20. Dezember 2006, S. 81) zu übermitteln ist. 

Begründung 

Der Gesetzentwurf sieht derzeit vor, Diensteanbieter nach 
dem Telemediengesetz zu ermächtigen, Nutzungsdaten 
für Zwecke der Sicherheit ihrer technischen Einrichtun- 
gen zu erheben und zu verwenden. Diese Regelung 
könnte der oben genannten Notifizierungsrichtlinie 98/ 
34/EG unterfallen. Nach Artikel 8 Absatz 1 Unterabsatz 1 
dieser Richtlinie übermitteln die Mitgliedstaaten (vor- 
behaltlich des Artikels 10) der EU-Kommission unver- 
züglich jeden Entwurf einer technischen Vorschrift, so- 
fern es sich nicht um eine vollständige Übertragung einer 
internationalen oder nationalen Norm handelt. Der Be- 
griff des Entwurfs einer technischen Vorschrift ist in Arti- 
kel 1 Nummer 12 der Richtlinie legaldefmiert und meint 
den Wortlaut einer technischen Spezifikation oder einer 
sonstigen Vorschrift oder einer Vorschrift betreffend 
Dienste einschließlich Verwaltungsvorschriften, der aus- 
gearbeitet worden ist, um diese als technische Vorschrift 
festzuschreiben oder letztlich festschreiben zu lassen, und 
der sich im Stadium der Ausarbeitung befindet, in dem 
noch wesentliche Änderungen möglich sind. Der Begriff 
der Vorschrift betreffend Dienste ist weit gefasst und be- 
trifft insbesondere auch Regelungen über die Betreibung 
von Dienstleistungen der Informationsgesellschaft (vgl. 
Artikel 1 Nummer 5 in Verbindung mit Nummer 2 der 
Richtlinie). 
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Gegenäußerung der Bundesregierung 


Vorbemerkung 

Der Regierungsentwurf eines Gesetzes zur Stärkung der Si- 
cherheit in der Informationstechnik des Bundes ist dringend 
erforderlich, um den zunehmenden Gefahren für die Sicher- 
heit in der Informationstechnik zu begegnen. Die Bundesre- 
gierung beobachtet eine stetige Zunahme von Angriffen so- 
wohl auf die Verfügbarkeit von Kommunikationseinrichtun- 
gen als auch auf sensible Daten. 

Das Bundesamt für Sicherheit in der Informationstechnik 
muss daher auch rechtlich in die Lage versetzt werden, an 
zentraler Stelle die Kommunikationsnetze der Bundesver- 
waltung insbesondere vor Schadprogrammen zu schützen. 
Hierzu ist es notwendig, den Datenverkehr der Bundesver- 
waltung zentral und automatisiert auf Schadprogramme zu 
untersuchen. 

Für neuartige Angriffe auf die Sicherheit der Computer der 
Bürgerinnen und Bürger werden unter anderem manipulierte 
Intemetseiten genutzt: Besucher dieser Seiten können sich 
durch den bloßen Aufruf dieser eigentlich harmlosen und 
vertrauenswürdigen Intemetseite ihren Computer mit einem 
Virus oder anderen Schadprogramm infizieren (sog. 
Drive-by Infections). 

Für die Anbieter von Telemediendiensten im Internet bedeu- 
tet dies, dass sich die zu verfolgenden IT-Sicherheitsziele im 
Internet verändert haben. Sie müssen ihre Systeme einerseits 
zum Selbstschutz gegen Manipulationen, Hacking oder Ver- 
fügbarkeitsangriffe schützen. Andererseits müssen sie heute 
ihre Systeme auch gegen Angriffe wappnen, die diese 
Systeme nur als Zwischenstation für Angriffe auf die Nutzer 
der Dienste missbrauchen und von außen zunächst gar nicht 
erkennbar sind. 

Zur Erkennung und Abwehr dieser Angriffe gegen Intemet- 
seiten und andere Telemedien kann die Erhebung und kurz- 
fristige Speichemng und Auswertung der Nutzungsdaten 
durch den jeweiligen Diensteanbieter erforderlich sein. 
Daher sind auch Telemedienanbieter auf eine klare gesetz- 
liche Regelung angewiesen, die ihnen eine solche Datenver- 
arbeitung ausdrücklich gestattet. 

Dies vorausgeschickt, nimmt die Bundesregiemng zu den 
Vorschlägen des Bundesrates wie folgt Stellung: 

Zu Nummer 1 

Zu Buchstabe a 
Zu Doppelbuchstabe aa 

Die Bundesregiemng wird den Vorschlag prüfen. 

Sie weist allerdings daraufhin, dass im Falle der Bereitstel- 
lung von Sicherheitsprodukten auch für die Länder eine ver- 
fassungsgemäße Lösung für die Finanziemng gefunden wer- 
den muss. 

Zu Doppelbuchstabe bb 

Die Bundesregiemng stimmt dem Vorschlag nicht zu. 

Die konkrete Ausgestaltung der Beschlüsse der Föderalis- 
muskommission II sollte dem Umsetzungsgesetz oder 


-Staatsvertrag hierzu auf der dann geschaffenen verfassungs- 
rechtlichen Gmndlage Vorbehalten bleiben. Dies ist verfah- 
renstechnisch vorzugswürdig, weil sich die im Vorschlag ge- 
nannten Gremien mit der Bund-Länder-Zusammenarbeit be- 
fassen, die im Rahmen der Föderalismusreform II neu geord- 
net wird. Insoweit genügt es, wenn das Gesetz über das 
Bundesamt für Sicherheit in der Informationstechnik 
(BSI-Gesetz) die Möglichkeiten der Bund-Länder-Zusam- 
menarbeit nicht einschränkt und somit die konkrete Ausge- 
staltung der von der Föderalismuskommission II gefassten 
Beschlüsse nicht vorab limitiert. Eine solche Einschränkung 
steht indes nicht zu befürchten, da § 3 Absatz 2 des BSI-Ge- 
setzes eine Unterstützung auch der Länder ausdrücklich vor- 
sieht. 

Zu Buchstabe b 
Zu Doppelbuchstabe aa 

Die Bundesregiemng wird den Vorschlag prüfen. 

Sie weist allerdings darauf hin, dass Eigenentwicklungen 
schon aufgmnd des Haushaltsgmndsatzes der Sparsamkeit 
nur dann als Mittel zur Erfüllung der Aufgaben nach § 3 Ab- 
satz 1 Satz 2 Nr. 11 inBetrachtkommen, wenn keine geeigne- 
ten Produkte am Markt verfügbar sind. Dies ist vor allem bei 
den sehr spezifischen Sicherheitsanfordemngen der Bundes- 
verwaltung, insbesondere in sensiblen Bereichen, häufig der 
Fall. 

Zu Doppelbuchstabe bb 

Die Bundesregiemng stimmt dem Vorschlag nicht zu. 

Die konkrete Ausgestaltung der Beschlüsse der Föderalis- 
muskommission II sollte dem Umsetzungsgesetz oder 
-Staatsvertrag hierzu auf der dann geschaffenen verfassungs- 
rechtlichen Gmndlage Vorbehalten bleiben. 

Zu Buchstabe c 

Die Bundesregiemng stimmt dem Vorschlag nicht zu. 

Die konkrete Ausgestaltung der Beschlüsse der Föderalis- 
muskommission II sollte dem Umsetzungsgesetz oder 
-Staatsvertrag hierzu auf der dann geschaffenen verfassungs- 
rechtlichen Gmndlage Vorbehalten bleiben. 

§ 9 regelt zudem ausschließlich die Tätigkeit des Bundes- 
amtes für Sicherheit in der Infonnationstechnik als Zertifi- 
ziemngsstelle der Bundesverwaltung und unterscheidet sich 
diesbezüglich nicht von der bereits bestehenden Regelung 
des § 4 des BSI-Errichtungsgesetzes. Auch zukünftig ist 
nicht zu erwarten, dass der Arbeitskreis der Staatssekretäre 
für E-Govemment in Bund und Ländern in seinen Zuständig- 
keiten betroffen sein wird. 

Bei Aufnahme des Punktes ist allerdings mit einer erheb- 
lichen Ausweitung des bürokratischen Aufwandes für das 
Zertifiziemngsverfahren zu rechnen. Seitens der betroffenen 
Wirtschaftsuntemehmen werden schon heute die angesichts 
der schnellen technischen Entwicklung zu langen Verfah- 
rensdauem kritisiert. Diesem wird durch die weitgehende 
Auslagerang von Prüfaufgaben unter Aufsicht des BSI 
begegnet. 
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Für eine zügige Verfahrensabwicklung ist es auch in Anbe- 
tracht der wachsenden Zahl von Zertifizierungsverfahren un- 
abdingbar, dass die Verantwortung allein beim BSI liegt. 
Lediglich aus überwiegend öffentlichen Interessen, insbe- 
sondere sicherheitspolitischen Belangen, kann das Bundes- 
ministerium des Innern der Erteilung eines Zertifikats wider- 
sprechen. 

Die grundsätzliche Mitprüfung durch den Arbeitskreis der 
Staatssekretäre für E-Govemment in Bund und Ländern 
dürfte das Verfahren erheblich verzögern und im Ergebnis zu 
einem Abwandem der Industrie zu ausländischen Zertifizie- 
rungsstellen führen. 

Zu Buchstabe d 

Die Bundesregierung stimmt dem Vorschlag nicht zu. 

Ungeachtet der Regelung des Artikels 80 Absatz 2 des 
Grundgesetzes dient die Angabe in der Ermächtigungsnorm, 
ob eine Verordnung mit oder ohne Zustimmung des Bundes- 
rats zu erlassen ist, der Rechtsklarheit und hat sich in der 
Staatspraxis bewährt. 

Zu Nummer 2 

Die Bundesregierung hat die erbetene Prüfung vorgenommen. 

Die Bundesregierung teilt nicht die Auffassung, dass es sich 
bei der automatisierten Auswertung nach Schadprogrammen 
um einen gravierenden Grundrechtseingriff handelt. Jeden- 
falls wird nach der Rechtsprechung des Bundesverfassungs- 
gerichts die Eingriffsschwelle gar nicht erst überschritten, so- 
weit die Daten unverzüglich ausgewertet und danach sofort 
und spurenlos wieder gelöscht werden (BVerfG v. 1 1 . März 
2008, IBvR 2074/05, 1 BvR 1254/07), wie es der Gesetzent- 
wurf in § 5 Absatz 1 Satz 2 vorsieht. Die Daten werden auch 
nicht anlasslos erhoben, sondern nur, um Gefahren für die In- 
formationstechnik des Bundes abzuwehren. 

Hinsichtlich der Kommunikationsinhalte kommt es lediglich 
dann zu einem Grundrechtseingriff, wenn der Verdacht be- 
steht, dass der Datenverkehr ein Schadprogramm enthält und 
die entsprechenden Daten ausgesondert werden. Dieser 
Grundrechtseingriff ist allerdings verhältnismäßig. Insbe- 
sondere treffen die Absätze 2 bis 7 umfangreiche materielle 
und verfahrenssichemde Vorkehrungen, um mögliche Beein- 
trächtigungen des darm betroffenen Femmeldegeheimnisses 
so gering wie möglich zu halten. Dabei ist zu berücksichti- 
gen, dass - anders als z. B. bei der Telekommunikationsüber- 
wachung - die Maßnahmen niemals darauf abzielen, Inhalte 
der Kommunikation zu erfassen. Vielmehr soll der Datenver- 
kehr lediglich auf Schadprogramme untersucht werden. 

Der Einsatz von vergleichbar arbeitenden Programmen zur 
Erkennung und Abwehr von Schadprogrammen (sog. Viren- 
scanner) ist bei Diensteanbietem, Unternehmen und Privat- 
personen sehr weit verbreitet. Auch in Behörden sind auf der 
Grundlage von Dienstvereinbarungen mit den Beschäftigten 
bereits entsprechende Programme im Einsatz. Ein Ein- 
schüchterungseffekt bei den Nutzem der Kommunika- 
tionstechnik als Folge des Einsatzes von Virenscarmem 
kormte bislang nicht beobachtet werden. 

Zu Nummer 3 

Die Bundesregierung stimmt dem Vorschlag zu. 


Zu Nummer 4 

Die Bundesregiemng wird den Vorschlag prüfen. 

Sie ist allerdings der Ansicht, dass jedenfalls bei besonders 
schwerwiegenden Gefahren eine sofortige Warnung der Öf- 
fentlichkeit möglich bleiben muss, wenn ansonsten ein Zeit- 
verlust zu befürchten ist, vgl. § 40 Absatz 3 des Lebensmit- 
tel- und Futtermittelgesetzbuchs. 

Zu Nummer 5 

Zu Nummer 1 Buchstabe a 

Die Bundesregiemng wird den Vorschlag prüfen. 

Sie weist allerdings daraufhin, dass die bestehende Regelung 
des § 15 Absatz 3 Diensteanbietem die Möglichkeit bieten 
soll, die Geschäftsentwicklung zu beobachten und entspre- 
chend im Hinblick auf Angebot und Nachfrage zu reagieren. 
Der Offlinehandel kann dies relativ einfach, beispielsweise 
über die Verfolgung von Warenumsätzen. Im Onlinebereich 
bedarf es hierfür der elektronischen Datenverarbeitung. Da- 
bei ist auch eine Anonymisiemng der Daten nicht möglich, 
da der Diensteanbieter bestimmte Bezugsgrößen benötigt, 
die er über die Nutzung von Pseudonymen erhält. Dem Da- 
tenschutzinteresse wird dadurch genügt, dass die Pseudo- 
nyme nicht mit den Daten des Nutzers zusammengeführt 
werden dürfen. 

Zu Nummer 1 Buchstabe b und Nummer 2 

Die Bundesregiemng stimmt dem Vorschlag hinsichtlich einer 
Ergänzung der Bußgeldvorschrift in § 1 6 des Telemedienge- 
setzes zu. Im Hinblick auf die Formuliemng des § 1 5 Absatz 9 
weist sie daraufhin, dass sich der Vorschlag im Gesetzentwurf 
der Bundesregiemng am Wortlaut der Regelung in § 100 Ab- 
satz 1 des Telekommunikationsgesetzes orientiert. Die dortige 
Regelung ist verfassungsrechtlich nicht zu beanstanden. Der 
Telekommunikationsdatenschutz unterliegt gmndsätzlich und 
mit Blick auf das EU-Recht (Richtlinie 2002/58/EG) engeren 
Vorgaben als der Telemediendatenschutz. Es ist weiterhin un- 
bestritten, dass Telemedienanbieter im Hinblick auf den 
Schutz ihrer technischen Einrichtungen das gleiche Schutzbe- 
dürfnis haben wie Telekommunikationsanbieter, das TMG 
hier aber eine Lücke aufweist. Daher besteht hier kein Anlass, 
bei Telemedienanbietem wesentlich engere Anfordemngen an 
die Voraussetzungen des Umgangs mit den personenbezo- 
genen Daten der Nutzer zu stellen als dies bei Telekommuni- 
kationsanbietem der Fall ist. 

Die Bundesregiemng schließt sich jedoch dem Vorschlag an, 
die Regelung des § 1 5 Absatz 9 in die Bußgeldvorschrift auf- 
zunehmen. Auch die TKG-Regelung enthält in § 149 Num- 
mer 17 TKG eine entsprechende Bewehmng. 

Zu Nummer 6 

Die Bundesregiemng hat die erbetene Prüfung vorgenom- 
men. 

Sie hat den Artikel 3 des Gesetzentwurfs am 14. Januar 2009 
der Europäischen Kommission nach Artikel 8 der Richtlinie 
98/34/EG des Europäischen Parlaments und des Rates vom 
22. Juni 1 998 über ein Informationsverfahren auf dem Gebiet 
der Normen und technischen Vorschriften und der Vorschrif- 
ten für die Dienste der Informationsgesellschaft (ABI. L 204, 
S. 37), zuletzt geändert durch die Richtlinie 2006/96/EG des 
Rates vom 20. November 2006 (ABI. L 363, S. 81), notifi- 
ziert. 
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